Не знаю как бороться с этими вирусами.
Заранее спасибо
Printable View
Не знаю как бороться с этими вирусами.
Заранее спасибо
1. Пришлите [B]virusinfo_cure.zip[/B] по ссылке [url=http://virusinfo.info/upload_virus.php?tid=8598]Прислать запрошенные файлы[/url]
2. AVZ - Файл - Выполнить скрипт:
[code]begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\rsvp32_2.dll','');
QuarantineFile('C:\WINDOWS\system32\nortons.dll','');
QuarantineFile('C:\WINDOWS\system32\cmdbcs.dll','');
QuarantineFile('c:\windows\system32\a658f900.exe','');
QuarantineFile('C:\WINDOWS\cmdbcs.exe','');
QuarantineFile('C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\WP27SHYJ\jh0315[2].exe','');
QuarantineFile('C:\Documents and Settings\М\Local Settings\Temp\yupxdnd.exe','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_8598_quarantine.zip');
RebootWindows(true);
end.[/code]
3. После перезагрузки пришлите [B]virusinfo_8598_quarantine.zip[/B] через ту же ссылку, что и в п.1
На машине были трояны,ворующие пароли. Необходимо сменить пароли.
присланное (по DrWeb)
c:\syswsj4\svchost.exe - Trojan.PWS.Gamania
c:\sysdayn5\svchost.exe - Trojan.PWS.Gamania
c:\syswsj5\svchost.exe - Trojan.PWS.Gamania
C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\IZYB2PUF\wm0322[1].exe - Trojan.MulDrop.5762
C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\WDQFOXEN\jt0320[1].exe - Trojan.MulDrop.5762
C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\XWXU0RNV\wmsj0320[1].exe - Trojan.MulDrop.5762
C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc3\svchost.exe - Trojan.PWS.Gamania
C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc4\svchost.exe - Trojan.PWS.Gamania
C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc5\svchost.exe - Trojan.PWS.Gamania
C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc6\svchost.exe - Trojan.PWS.Gamania
C:\SysDayN5\Ghook.dll - Trojan.PWS.Gamania
C:\WINDOWS\system32\nortons.dll - Trojan.PWS.Wsgame
AVZ - Файл - Выполнить скрипт:
[code]begin
SetAVZGuardStatus(true);
DeleteFile('c:\syswsj4\svchost.exe');
DeleteFile('c:\sysdayn5\svchost.exe');
DeleteFile('c:\syswsj5\svchost.exe');
DeleteFile('C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\IZYB2PUF\wm0322[1].exe');
DeleteFile('C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\WDQFOXEN\jt0320[1].exe');
DeleteFile('C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\XWXU0RNV\wmsj0320[1].exe');
DeleteFile('C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc3\svchost.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc4\svchost.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc5\svchost.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc6\svchost.exe');
DeleteFile('C:\SysDayN5\Ghook.dll');
DeleteFile('C:\WINDOWS\system32\nortons.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
После перезагрузки повторите логи, надо посмотреть, что получилось и что ещё осталось.
Там, по идее, ещё спамбот должен быть (rsvp32_2.dll). Не пришёл?
Загружаю повторно логи, файл rsvp32_2.dll не нашла, а что делать дальше?
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\sbhr.sys','');
QuarantineFile('C:\Documents and Settings\М\Local Settings\Temp\ICD2.tmp\PopCapLoader.dll','');
QuarantineFile('C:\DOCUME~1\C140~1\LOCALS~1\Temp\upxdnd.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\sbapifs.sys','');
QuarantineFile('C:\WINDOWS\system32\udcpm.dll','');
QuarantineFile('C:\WINDOWS\system32\mppds.dll','');
QuarantineFile('c:\windows\system32\a658f900.exe','');
DeleteFile('C:\Documents and Settings\М\Local Settings\Temp\ICD2.tmp\PopCapLoader.dll');
DeleteFile('c:\windows\system32\a658f900.exe');
DeleteFile('c:\syswm1f\svchost.exe');
DeleteFile('c:\sysdayn5\svchost.exe');
DeleteFile('c:\syswsj4\svchost.exe');
DeleteFile('c:\sysad5c\svchost.exe');
DeleteFile('C:\SysAd5C\Ghook.dll');
DeleteFile('c:\SysDayN5\Ghook.dll');
DeleteFile('C:\WINDOWS\system32\nortons.dll');
DeleteFile('C:\DOCUME~1\C140~1\LOCALS~1\Temp\upxdnd.exe');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
Повторите логи, а также добавьте файл boot_clr.log из папки AVZ. Вы сами прописывали адреса в файле Host?
Очистите кэш IE и корзину Windows.
Все сделала, адреса в хосте я сама не прописывала, не умею и не знаю как это делать, заранее спасибо
Давайте попробуем прислать вот эти файлы -
[CODE]begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\mppds.exe','');
QuarantineFile('C:\WINDOWS\nortons.exe','');
QuarantineFile('c:\windows\system32\a658f900.exe','');
QuarantineFile('C:\WINDOWS\system32\mppds.dll','');
QuarantineFile('C:\WINDOWS\system32\nortons.dll','');
CreateQurantineArchive(GetAVZDirectory+'8598_quarantine-2.zip');
end.[/CODE]
По касперскому:
[QUOTE]avz00001.dta - Trojan-PSW.Win32.OnLineGames.jj,
avz00002.dta - Trojan-PSW.Win32.OnLineGames.kt,
avz00003.dta - Trojan-PSW.Win32.OnLineGames.jj,
avz00004.dta - Trojan-PSW.Win32.OnLineGames.jj,
avz00005.dta - Trojan-PSW.Win32.OnLineGames.jj,
avz00007.dta - Trojan-PSW.Win32.OnLineGames.kt,
avz00008.dta - Trojan-PSW.Win32.OnLineGames.jj,
avz00009.dta - Trojan-PSW.Win32.OnLineGames.kt,
avz00010.dta - Trojan-PSW.Win32.OnLineGames.kt,
avz00011.dta - Trojan-PSW.Win32.OnLineGames.jj,
avz00012.dta - Trojan-PSW.Win32.OnLineGames.jj,
avz00013.dta - Trojan-PSW.Win32.OnLineGames.kt,
avz00014.dta - Trojan-PSW.Win32.OnLineGames.jj,
avz00015.dta - Trojan-PSW.Win32.OnLineGames.jj,
avz00016.dta - Trojan-PSW.Win32.OnLineGames.es,
avz00017.dta - Trojan-PSW.Win32.OnLineGames.kt,
avz00018.dta - Trojan-PSW.Win32.OnLineGames.jj
avz00006.dta - Trojan-Dropper.Win32.Agent.beu[/QUOTE]
отправила файлы из карантина
[QUOTE=marnast;101177]отправила файлы из карантина[/QUOTE]
Всё присланное Trojan.PWS.Wsgame -
C:\WINDOWS\mppds.exe
C:\WINDOWS\nortons.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\nortons.dll
Скачайте CureIT (ссылка в правилах) просканируйте систему, и сделайте новые логи.
Проверила систему CureIT, казалось бы чисто. Но после посещения интернета появляются те же вирусы. Стоит NOD 32. Что делать?
1. [url=http://virusinfo.info/showthread.php?t=7239]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/url]
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\М\Local Settings\Temp\ICD1.tmp\PopCapLoader.dll');
DeleteFile('C:\WINDOWS\system32\nortons.dll');
DeleteFile('C:\WINDOWS\nortons.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(True);
end.
[/code]
2.Пофиксить в HijackThis( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]
O23 - Service: 38FEFA20 - - (no file)
[/code]
что это за чудо , кто знает ?
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - (no file)
Компьютер перезагрузится. Повторите логи п.10 и 12 правил.
Все сделала, что дальше
В логах больше ничего подозрительного.
Проблема еще как-то себя проявляет?
Пока нет, но в интернет заходить боюсь
[QUOTE=drongo;101245]что это за чудо , кто знает ?
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - (no file)[/QUOTE]
По названию - агент к именованной инстанции MS SQL. Судя по имени инстанции - очередные проделки Sony BMG. Видимо, уже почикали, раз no file.
Большое спасибо всем за помощь, пока все тихо
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]